2019-0940: IBM WebSphere Application Server: Zwei Schwachstellen ermöglichen u. a. einen Denial-of-Service-Angriff

Historie:

Version 1 (2019-05-10 18:41)

Neues Advisory

Version 2 (2019-05-13 18:01)

IBM informiert darüber, dass auch die IBM Java SDK Versionen, die mit IBM WebSphere Application Server Patterns 1.0.0.0 - 1.0.0.7 und 2.2.0.0 - 2.2.6.0 ausgeliefert werden, von diesen Schwachstellen betroffen sind und stellt den Interim Fix 1.0.0.0-WS-WASPATTERNS-JDK-1904 zur Verfügung.

Betroffene Software

Middleware
Server

Betroffene Plattformen

HP
IBM
Linux
Microsoft
Oracle
UNIX

Beschreibung:

Zwei Schwachstellen ermöglichen einem entfernten, nicht authentisierten Angreifer einen Denial-of-Service (DoS)-Angriff und die Manipulation von Dateien.

IBM informiert über die Schwachstellen in WebSphere Application Server Traditional in den Version 8.5.0.0 bis 8.5.5.15 und 9.0.0.0 bis 9.0.0.11. Zudem sind alle Versionen von WebSphere Application Server Liberty betroffen.

Die Schwachstellen können im WebSphere Application Server Liberty behoben werden, indem der Interim Fix PH11179 eingespielt wird oder ein Update auf IBM SDK, Java Technology Edition Version 7R1 SR4 FP45 oder IBM SDK, Java Technology Edition Version 8 SR5 FP35 durchgeführt wird. Die Schwachstellen können für den WebSphere Application Server Traditional in Version 9 nur behoben werden durch ein Update auf IBM SDK, Java Technology Edition, Version 8 Service Refresh 5 Fix Pack 35. Im Fall des WebSphere Application Server Traditional in Version 8.5 gibt es mehrere Möglichkeiten in Abhängigkeit der installierten Version des IBM SDKs, wie die Schwachstellen behoben werden können. Für das IBM SDK Java Technology Edition Version 7 steht der Interim Fix PH11179, für IBM SDK Java Technology Edition Version 7R1 der Interim Fix PH11178 und für IBM SDK Java Technology Edition Version 8 der Interim Fix PH11175 oder, falls es sich um das IBM SDK des WebSphere Application Server Fix Pack 8.5.5.11 handelt, der Interim Fix PH11176 bereit. Alternativ kann das IBM Java SDK, das mit WebSphere Application Server Fix Pack 16 (8.5.5.16) voraussichtlich im 3. Quartal 2019 kommen wird, eingespielt werden.

Schwachstellen:

CVE-2019-2602

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Denial-of-Service-Angriff

CVE-2019-2684

Schwachstelle in Oracle Java SE und Java SE Embedded ermöglicht Manipulation von Daten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.